深耕AI领域!
初步的粗略分析表明,该工具可以用于横向移动,因为它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit渗透测试套装中的一个powershell版本的mimikatz工具,用来抓取windows操作系统中的密码。它还可以收集有关受害设备和用户帐户的信息。这表明PhantomNet可以接收额外的和复杂的插件,这些插件可能只部署在恶意软件运营商特别感兴趣的设备上。 在越南的攻击事件中,研究人员时无法恢复有关攻击后活动的数据,因此研究人员无法了解攻击者的最终目标。 总结 借助Able Desktop的攻击威力,Lazarus对WIZVERA VeraPort的攻击以及最近对SolarWinds Orion的供应链攻击,可以看到,供应链攻击是网络间谍组织非常常见的攻击途径。在本文的示例中,攻击者就是攻击了一个越南证书颁发机构的网站,该机构的用户可能对该机构有很高的信任度。 供应链攻击通常很难被发现,因为恶意代码通常隐藏在许多合法代码中,这使得发现它们变得非常困难。
IoC 下载并执行后,安装程序将启动正版GCA程序和恶意文件。恶意文件被写入C: Program Files VGCA Authentication SAC x32 eToken.exe。通过安装合法程序,攻击者可以确保最终用户不会轻易注意到这种攻击。 这个恶意文件是一个简单的dropper ,它提取名为7z.cab的Windows cabinet文件(.cab),其中包含后门。 如果dropper作为管理员运行,则后门将被写入c: windows appatch netapi32.dll,并且为了持久性攻击,dropper将恶意DLL注册为服务。 如果以普通用户身份运行,则后门将写入%TEMP% Wmedia PhantomNet 后门由其开发人员命名为Smanager_ssl.DLL,但研究人员使用的是PhantomNet,因为这是该后门的较旧版本中使用的项目名称。最新版本是在2020年4月26日,即在供应链攻击发生将近两个月之前编译的。除越南外,研究人员在菲律宾也看到了受害者,但不幸的是,研究人员没有发现这些示例中的传播机制。 这个后门很简单,大部分的恶意功能可能是通过额外的插件来部署的。它可以检索受害者的代理配置,并使用它接触到命令和控制(C&C)服务器,这表明目标很可能在一个公司网络中运行。 PhantomNet使用HTTPS协议与其硬编码的C&C服务器进行通信: vgca.homeunix[.]org和office365.blogdns[.]com。为了防止中间人攻击,PhantomNet使用SSPI库中的函数实现证书固定。在与C&C服务器的第一次连接期间下载证书,然后将其存储在Windows证书存储区中。 除了使用动态DNS提供程序外,有趣的是注意到第一个子域的名称vgca是为了模仿越南政府证书颁发机构的名称而选择的。
攻击者可以使用以下五个命令来控制植入程序: (编辑:甘孜站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |